Woman using smartphone with icon graphic cyber security network of connected devices and personal data information
© Getty Images/iStockphoto / marchmeena29/iStockphoto

Science

Dem Messenger keinen Kontakt zuviel verraten

Wenn man eine neue Messenger-App auf dem Smartphone installiert - etwa WhatsApp oder Signal -, wird man üblicherweise aufgefordert, der App Zugriff auf das eigene Adressbuch zu gewähren. Das geschieht, damit der Anbieter das Adressbuch mit seiner eigenen Nutzerdatenbank abgleichen kann.

Der Nutzer profitiert davon, indem die App sofort anzeigt, welche der eigenen Bekannten man damit kontaktieren kann. Problematisch ist nur, dass der Anbieter nun sämtliche Adressbucheinträge besitzt, also auch die Namen und Telefonnummern jener Personen, die den Messenger nicht nutzen. Was mit diesen Daten geschieht, ist oft völlig unklar. Es liegt jedenfalls nicht mehr in der Hand des Nutzers.

Sicherheit vor Vertrauen

Ein neues Verfahren namens "ContactGuard", das von der TU Graz gemeinsam mit der TU Darmstadt entwickelt wurde, soll hier Abhilfe schaffen. Es lässt weiterhin zu, dass verfügbare Kontakte sofort in der Messenger-App auftauchen, der Anbieter erhält aber nur die Daten jener Personen, die in seiner Nutzerdatenbank auftauchen. Der Rest des Adressbuchs bleibt ihm verborgen.

Normalerweise wird das eigene Adressbuch für den Kontaktabgleich vollständig an den Anbieter des Messenger-Dienstes übertragen. Bei ContactGuard bleibt es am Smartphone. Stattdessen wird die Nutzerdatenbank des Anbieters in verschlüsselter Form auf das Smartphone geladen. Das Adressbuch wird ebenfalls verschlüsselt.

Dann wird die Schnittmenge der Kontakte mittels kryptografischer Berechnungen ermittelt. "Dass man mit verschlüsselten Daten rechnen kann, ist eine relativ neue Sache", erklärt Cybersicherheitsexperte Christian Rechberger von der TU Graz. Für den Schutz der eigenen Privatsphäre könnte sie eine bedeutende Verbesserung bringen.

Selbst Signal

"Bisher gab es noch keine zufriedenstellenden Lösungen für ein Kontaktermittlungsverfahren mobiler Messenger-Dienste. Alle bisherigen Möglichkeiten sind entweder komplett unsicher oder bieten zumindest keinen nennenswerten Schutz", sagt Rechberger. Selbst Dienste wie Signal, denen der Schutz der Privatsphäre eigentlich ein großes Anliegen ist, übertragen die Adressbücher ihrer neuen Nutzer zum Kontaktabgleich auf ihre Server. Darauf, dass die nicht übereinstimmenden Kontakte danach gelöscht werden, können Nutzer nur vertrauen.

"Signal ist unter den problematischen Fällen noch der beste", sagt Rechberger. "Bei unserer Lösung muss man aber niemandem mehr vertrauen." ContactGuard ist ein quelloffenes Programm, somit kann jeder Experte seine Zuverlässigkeit überprüfen.

So könnte die geplante ContactGuard-Integration in die Adressbuch-Anwendung aussehen: Das Aktivieren der "Sensitiver Kontakt"-Funktion verweigert Messengerdiensten und Drittanbietern den Zugriff auf die Daten.

Skalierungsproblem

Mit Moxie Marlinspike, dem Entwickler von Signal, hat die TU Graz auch Kontakt aufgenommen. Seine End-To-End-Verschlüsselung bei der Datenübertragung steckt heute in einer Vielzahl von Messengern, auch WhatsApp. Das einzige Problem, das er bei ContactGuard sieht, ist die Skalierbarkeit.

Wird die Nutzerdatenbank eines Messenger-Dienstes mit rund 100 Millionen Einträgen mit dem Adressbuch eines neuen Nutzers verglichen, benötigt ContactGuard dafür wenige Sekunden. WhatsApp hat allerdings eine Nutzerdatenbank mit über 2 Milliarden Einträgen. Der Abgleich würde damit deutlich länger dauern.

Laut Rechberger gäbe es für dieses Problem eine Lösung. Der Anbieter könnte seine Datenbank unterteilen, etwa in geografische Zonen. "Das wäre allerdings nicht mehr ganz so elegant." An der Weiterentwicklung des ContactGuard-Verfahrens wird daher intensiv gearbeitet.

Noch hat sich kein Messenger-Dienst über die Anwendung von ContactGuard gewagt. Für die Anbieter wären damit Mehrkosten für die Datenübertragung verbunden. Rechberger hofft darauf, dass es künftig mehr politischen Willen gibt, das Verfahren zu verbreiten.

Digitale Umweltverschmutzung

"Ich bezeichne das gerne als digitale Umweltverschmutzung", sagt Rechberger. "Wenn man WhatsApp verwendet, produziert man alle möglichen überflüssigen Daten, die einem selbst egal sind, die aber anderen schaden können." Es sei etwa denkbar, dass die Daten auf den Servern der Messenger-Anbieter von Hackern oder Geheimdiensten abgesaugt werden. Auch die Daten vieler Personen, die den Messenger gar nicht nutzen, kämen dadurch in falsche Hände.

"In den 60er- und 70er-Jahren war vielen Menschen noch nicht bewusst, dass Abwasser besser nicht direkt in einen Fluss geleitet wird. Mittlerweile akzeptiert das jeder, dass es da rechtliche Rahmenbedingungen gibt." Ähnlich verhalte es sich nun bei privaten Daten. "Es erscheint mir sinnvoll, dass man da auf rechtlicher Seite nachschärft."

Hat dir der Artikel gefallen? Jetzt teilen!

David Kotrba

Ich beschäftige mich großteils mit den Themen Energie, Mobilität und Klimaschutz. Hie und da geht es aber auch in eine ganz andere Richtung.

mehr lesen
David Kotrba

Kommentare